Ransomware Akira: una nuova campagna colpisce i firewall SonicWall

Dalla fine di luglio 2025 è stata registrata una nuova ondata di attacchi informatici che colpisce le organizzazioni dotate di firewall SonicWall, con la diffusione attiva del ransomware Akira.

Secondo i ricercatori di Arctic Wolf Labs, l’attività malevola ha subito un incremento significativo e continua a persistere. Gli aggressori ottengono l’accesso iniziale attraverso connessioni VPN SSL compromesse, riuscendo a eludere l’autenticazione multifattore (MFA). Una volta entrati nella rete, passano rapidamente alla fase di crittografia: in alcuni casi, il tempo di permanenza prima del rilascio del ransomware è stato di appena 55 minuti.

La vulnerabilità sfruttata e il ruolo delle credenziali rubate

Gli accessi abusivi sono stati collegati al CVE-2024-40766, una vulnerabilità di controllo degli accessi resa pubblica nel 2024. La principale ipotesi è che i criminali abbiano raccolto in passato credenziali da dispositivi esposti e vulnerabili, ora sfruttate anche contro apparati già aggiornati. Questo spiega perché siano stati compromessi sistemi completamente patchati, circostanza che inizialmente aveva alimentato l’ipotesi di un nuovo exploit zero-day.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Un altro elemento critico riguarda la MFA OTP di SonicWall: gli attaccanti sono riusciti ad autenticarsi anche con account protetti da questa funzione, aumentando la gravità della campagna.

Tecniche e strumenti utilizzati

Una volta ottenuto l’accesso tramite VPN SSL, gli aggressori:

• avviano la scansione della rete interna per identificare porte esposte come SMB (445), RPC (135) e SQL (1433);
• utilizzano strumenti di ricognizione e movimento laterale tra cui Impacket, SoftPerfect Network Scanner e Advanced IP Scanner;
• creano nuovi account amministrativi e innalzano i privilegi di quelli già presenti;
• installano software di accesso remoto come AnyDesk, TeamViewer e RustDesk per garantire la persistenza;
• stabiliscono connessioni nascoste tramite SSH inverso e Cloudflare Tunnels.

Per ridurre le possibilità di rilevamento, gli operatori della minaccia tentano di disattivare le soluzioni di sicurezza degli endpoint, come Windows Defender ed EDR.

In alcuni casi ricorrono alla tecnica BYOVD (bring your own vulnerable driver) per compromettere i sistemi a livello di kernel ed eliminano le copie shadow del volume per impedire eventuali ripristini.

Dalla raccolta dei dati al rilascio del ransomware

Prima di avviare la crittografia, gli attaccanti esfiltrano informazioni riservate: i file vengono compressi con WinRAR ed estratti attraverso strumenti come rclone e FileZilla. Successivamente distribuiscono il ransomware Akira, tramite file eseguibili denominati akira.exe o locker.exe, crittografando le unità di rete e avviando la richiesta di riscatto.

Raccomandazioni per le organizzazioni

Gli esperti di Arctic Wolf invitano tutte le realtà che utilizzano dispositivi SonicWall ad adottare misure immediate.

In particolare, si raccomanda di reimpostare le credenziali delle VPN SSL, inclusi gli account collegati ad Active Directory, soprattutto se i sistemi in passato hanno eseguito firmware vulnerabili a CVE-2024-40766. La semplice applicazione delle patch non è considerata sufficiente se le credenziali sono già state compromesse.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.